Seit einem Jahr gibt es Mozillas Single-Sign-On Service Persona bereits. Der große Erfolg blieb anscheinend vorerst aus, so entschloss man sich kürzlich, das Projekt an die Community zu übergeben, während man es aber weiterhin unterstützen wird. Drei Mitarbeiter der Professur für Informationssicherheit und Kryptographie an der Universität Trier haben nun gravierende Sicherheitslücken in dem Anmelde-System entdeckt. So können sich Angreifer mit beliebigen Google- oder Yahoo-Adressen bei Webseiten anmelden. So ist es dann möglich, Daten aus fremden Konten auszulesen und auch zu verändern.
Die Lücke wurde Mozilla vor Veröffentlichung mitgeteilt und ist auch bereits geschlossen. Es besteht demnach keine Gefahr mehr, wenn man den Service nutzt. Generell bestätigt die Uni Trier Persona einen guten Ansatz, da im Gegensatz zu Single-Sign-Ons über Google oder Facebook keinerlei Daten an Dritte gegeben werden, wenn eine Webseite besucht wurde. Die Ergebnisse der Untersuchung präsentieren die Forscher auf der IT-Sicherheitskonferenz „Security and Privacy 2014″.